Os pesquisadores de segurança Aleksei Stennikov e Timur Yunusov descobriram recentemente vulnerabilidades em dois dos maiores fabricantes de pontos de venda (PoS) dispositivos - Verifone e Ingenico.
As vulnerabilidades apresentadas durante a Black Hat Europe 2020 poderia ter permitido que os cibercriminosos roubassem dados de cartão de crédito, terminais clone, e realizar outras formas de fraude financeira. Compradores e varejistas podem ser afetados. Mais especificamente, dispositivos afetados incluem Verifone VX520, Verifone MX series, e o Ingenico Telium 2 Series.
As vulnerabilidades foram divulgadas aos fornecedores, e patches agora estão disponíveis. Contudo, pode levar algum tempo antes que todas as partes envolvidas apliquem os patches.
Vulnerabilidades de Verifone e Ingenico PoS descritas
Uma das falhas nos dispositivos PoS dos dois fabricantes permitia o uso de senhas padrão, que pode fornecer aos hackers acesso a um menu de serviço. Uma vez obtido, este acesso pode permitir que eles manipulem as máquinas’ código para executar comandos maliciosos. Algumas das vulnerabilidades existem há pelo menos uma década, e outros para cima 20 anos. As falhas mais antigas estão localizadas principalmente em elementos legados que não estão mais em uso.
Como os hackers podem explorar os bugs do PoS? Uma maneira é através do acesso físico a um terminal PoS vulnerável. Se isso não for possível, o acesso pode ser obtido remotamente via Internet. De qualquer jeito, hackers visam executar execução de código arbitrário, ataques de estouro de buffer, e qualquer outra técnica maliciosa que garanta a escalada de privilégios e controle do administrador. O propósito final, claro, é roubar dados financeiros.
Como o acesso remoto a uma rede pode ser obtido? Por meio de phishing ou outro tipo de ataque que abre a porta para a rede e o dispositivo PoS. Dispositivos PoS são computadores, e se eles estão conectados à rede e à Internet, os cibercriminosos podem tentar obter acesso como em um ataque normal de computador. Os invasores podem até mesmo acessar dados de cartão não criptografados, incluindo Track2 e detalhes de PIN, que pode ajudá-los a roubar e clonar cartões de pagamento.
Por razões de segurança, é altamente recomendado que os varejistas mantenham os dispositivos PoS em uma rede diferente. Se os invasores obtiverem acesso à rede por meio de um sistema Windows, seria mais difícil para eles chegarem aos terminais PoS.
Tanto a Verifone quanto a Ingenico confirmaram seu conhecimento das vulnerabilidades. Um patch já foi lançado para prevenir ataques. Não há informações sobre as falhas exploradas na natureza. Mais detalhes estão disponíveis em Os pesquisadores’ relatório.
No 2018, Pesquisadores da Positive Technologies relataram vulnerabilidades em mPoS (Ponto de Venda móvel) dispositivos que afetam vendedores Square, SumUp, iZettle, e PayPal. A descoberta também foi anunciada durante a conferência Black Hat. Os invasores podem alterar o valor cobrado em um cartão de crédito, ou forçar os clientes a usar outros métodos de pagamento, como tarja magnética.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: